Cisco Nexus: настройка источника
Данное руководство описывает процесс настройки сбора и отправки событий Cisco Nexus в R-Vision SIEM.
Предварительные требования
Перед настройкой пересылки событий в R-Vision SIEM убедитесь, что сетевая связность между устройствами Cisco Nexus и R-Vision SIEM (или промежуточным узлом) обеспечена, а необходимые порты открыты.
Настройка Cisco Nexus
Настройка отправки событий в R-Vision SIEM
Отправка сообщений осуществляется посредством протокола syslog.
Для настройки передачи событий выполните следующие команды в режиме глобальной конфигурации (configure terminal):
# Укажите IP-адрес вашего сервера и уровень детализации (6 — Informational).
logging server <target> 6 port <port>
# Укажите интерфейс, с которого будут уходить логи.
logging source-interface <interface>
# Настройте метки времени в логах.
logging timestamp milliseconds
# Укажите требование использовать имя хоста в заголовке логов.
logging origin-id <router-hostname>
# Укажите формат логов.
logging rfc-strict 5424
# Сохраните настройки.
copy running-config startup-configЗдесь:
-
<router-hostname>— имя хоста Cisco Nexus; -
<target>— IP-адрес узла кластера K8s, на котором запущен коллектор; -
<port>— порт точки входа Socket на конвейере R-Vision SIEM; -
<interface>— интерфейс Cisco Nexus, с которого будут отправляться события, например,ethernet 1/1.
|
При создании точки входа указывайте любой свободный порт больше 30 000. Точка входа в конвейере должна быть создана заранее. |
Настройка в R-Vision SIEM
Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:
-
В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.
-
Добавьте на конвейер элемент Точка входа со следующими параметрами:
-
Название: введите название точки входа.
-
Тип точки входа: выберите вариант Socket.
-
Порт точки входа: введите значение в соответствии с настройками на стороне Cisco Nexus.
-
Протокол: выберите вариант в соответствии с настройками на стороне Cisco Nexus.
-
-
Добавьте на конвейер элемент VRL-трансформация со следующим кодом:
.device_product = "nexus" -
Соедините точку входа с VRL-трансформацией.
-
Добавьте на конвейер элемент Нормализатор с правилом Cisco Nexus (идентификатор правила: RV-N-339).
-
Соедините нормализатор с VRL-трансформацией.
-
Добавьте на конвейер элемент Конечная точка типа Хранилище событий.
-
Соедините конечную точку с нормализатором.
-
Сохраните и установите конфигурацию конвейера.
Пример конфигурации конвейера:
После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события Cisco Nexus.
|
Найти события Cisco Nexus в хранилище можно по следующему фильтру:
|
Была ли полезна эта страница?
